IT-Sicherheit für die Ernährungsindustrie
Der UP Kritis Branchenarbeitskreis Ernährungsindustrie entwickelte auf Initiative des BVE einen branchenspezifischen IT-Sicherheitsstandard für die Ernährungsindustrie.
Die zunehmende Digitalisierung von Unternehmen, Verwaltung und Gesellschaft, aber auch verstärkte Cyberangriffe machen das Thema IT-Sicherheit für die Ernährungsindustrie besonders relevant. Lebensmittel- und Getränkehersteller sind herausgefordert ihre informationstechnischen Systeme, Komponenten und Prozesse vor Ausfall und Manipulation zu schützen. Fast jeder vierte mittelständische Lebensmittelhersteller hat bereits eine erfolgreiche Cyberattacke erlebt. Nach einem erfolgreichen Angriff stand die Hälfte der Betriebe zeitweise sogar still.
Weitere finanzielle Schäden entstanden durch den hohen Aufwand, mit dem Angriffe analysiert und entwendete oder gesperrte Daten wiederhergestellt werden mussten.
Kritische Infrastruktur (Kritis) besonders gefordert bei Cybersicherheit
Die Ernährungsindustrie gehört zum Sektor Ernährung, welcher als Kritische Infrastruktur (Kritis) durch den Gesetzgeber definiert und mit dem „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (BSIG) geschützt ist. Das BSIG schützt Kritis in aktuell zehn Sektoren: Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung, Medien und Kultur, Staat und Verwaltung, Finanz- und Versicherungswesen sowie Siedlungsabfallentsorgung.
Als Kritische Infrastrukturen gelten Anlagen, deren Ausfall kritische Versorgungsengpässe mit sich bringen würden. Die BSI-Kritis-Verordnung legt fest, welche Einrichtungen im Sektor Ernährung als kritische Infrastruktur im Sinne des BSI-Gesetzes gelten und damit gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) seit dem 3. Mai 2018 meldepflichtig und zum Nachweis des aktuellen Standes der Technik verpflichtet sind. In der Ernährungsindustrie sind Anlagen betroffen, die einen Schwellenwert von Speisen (434.500 t) oder Getränken (350 Mio. l) im Jahr erreichen oder überschreiten (vgl. BSI-KritisV). Darüber hinaus empfiehlt das BSI aber auch Lebensmittel- und Getränkeherstellern, die nicht oder noch nicht unter die BSI-KritisV fallen, sich dringend mit dem Thema IT-Sicherheit auseinanderzusetzen und geeignete Maßnahmen zum Schutz ihrer IT-Infrastruktur zu ergreifen.
Branchenspezifischer Standard erleichtert Umsetzung von IT-Sicherheit
Der UP Kritis Branchenarbeitskreis Ernährungsindustrie hat auf Initiative des Branchendachverbandes, der Bundesvereinigung der Deutschen Ernährungsindustrie (BVE), daher einen branchenspezifischen IT-Sicherheitsstandard für die Ernährungsindustrie entwickelt, der sowohl den von der BSI-KritisV betroffenen Unternehmen wie auch allen kleinen und mittelständischen Lebensmittel- und Getränkeherstellern eine branchengerechte Anleitung gibt, wie ein Schutzniveau, das dem geforderten aktuellen Stand der Technik entspricht, im Unternehmen implementiert werden kann.
Mit diesem branchenspezifischen IT-Sicherheitsleitfaden erstellen Unternehmen einen Katalog von Schutzmaßnahmen, die auf die jeweilige Unternehmenssituation zugeschnitten sind. Durch die Umsetzung dieser Schutzmaßnahmen erfüllen die Unternehmen die Anforderungen des Gesetzgebers gemäß § 8a (1) BSI-Gesetz (BSIG). Das BSI hat die Eignung des IT-Sicherheitsstandards für die Ernährungsindustrie gemäß § 8a (2) BSI-Gesetz am 18. Januar 2019 festgestellt, am 12. März 2021 erfolgte die Eignungsfeststellung der gesetzmäßig aktualisierten Fassung des IT-Sicherheitsstandards durch das BSI.
Systeme zur Angriffserkennung (SzA) als neue Anforderung des Gesetzgebers
Das BSIG wird stetig weiterentwickelt. Am 28. Mai 2021 sind mit dem zweiten IT-Sicherheitsgesetz zahlreiche Änderungen im BSIG in Kraft getreten. So wird im neuen § 8a Absatz 1a BSIG nun ausdrücklich der Einsatz von Systemen zur Angriffserkennung (SzA) zusätzlich zu weiteren Schutzmaßnahmen gefordert. Derartige Systeme stellen eine effektive Maßnahme zur (frühzeitigen) Erkennung von Cyber-Angriffen dar und unterstützen insbesondere die Schadensreduktion und Schadensvermeidung. Ihre Aufgaben sind konkret die Protokollierung, Detektion und Reaktion. Die Verpflichtung zum Einsatz von Systemen zur Angriffserkennung besteht gemäß dem Gesetzeswortlaut ab dem 1. Mai 2023.
Die von den Kritis Betreibern verpflichtend alle zwei Jahre gegenüber dem BSI vorzulegenden Nachweise müssen ab dem 1. Mai 2023 auch Aussagen zur Umsetzung des Absatzes 1a, also zum Einsatz von Angriffserkennungssystemen, enthalten. Wenngleich SzA wirksam zur Schadensreduktion und –vermeidung beitragen können, so ist ihre Umsetzung für viele Unternehmen mit einem hohen Aufwand verbunden. Die Herausforderungen sind groß. So ist eine aktive 24/7 Überwachung und Datenauswertung notwendig, wobei Netzwerkanomalien vielfältig und nicht gleichermaßen relevant sein können.
Allein das Monitoring der Ereignisse ist für den Menschen kaum zu bewältigen und macht SOCs (Security Operation Center) im Unternehmen unentbehrlich. Solche SOCs stellen jedoch einen immensen Aufwand für Unternehmen dar. Auch treffen viele Angriffe zunächst Identitäten und nicht die Netzwerkebene. Diesen Angriffen müsste zusätzlich zur Angriffserkennung vorgebeugt werden. Folglich kann sich die Angriffserkennung eigentlich nicht nur auf die Netzwerkebene beschränken.
Ernährungsindustrie erarbeitet branchenspezifische Umsetzungshinweise zu SzA
An den gerade an kleinen und mittelständischen Unternehmen orientierten Sicherheitsstandart B3S der Ernährungsindustrie stellt sich daher angesichts der Komplexität und Kostenintensität der Anforderungen von SzA die Frage, wieviel als Mindestanforderung an SzA überhaupt eingefordert werden kann. In seiner dritten Überarbeitung hat der B3S der Branche daher vor allem auf die Umsetzung der Anforderungen zur Angriffserkennung nach BSIG im Sinne von Mindestanforderungen fokussiert, damit mit dem dann voraussichtlich ab März 2023 geltenden B3S auch die ab Mai zu erfüllende Nachweispflicht zu SzA von den Unternehmen und Kritis Betreibern der Branche erfüllt werden kann. Der B3S gibt dabei vor, dass Betreiber einen risikobasierten Ansatz wählen und relevante Bedrohungen individuell definieren können.
Weitere Orientierung und Konkretisierungen
Natürlich geben nicht nur die branchenspezifischen Sicherheitsstandards Mindestanforderungen und Umsetzungshinweise vor. Das BSI hat am 26. September 2022 ebenfalls eine erste Version einer Orientierungshilfe zum Einsatz von Systemen zur Angriffserkennung veröffentlicht, welche auch in einem Konsultationsprozess mit den Kritis Sektoren entstanden ist. Die Orientierungshilfe soll laut BSI eine einheitliche Nachweiserbringung gewährleisten, indem eine systematische Bewertung der getroffenen Maßnahmen unter Verwendung eines Umsetzungsgradmodells eingeführt wird. Zudem empfiehlt das BSI als Orientierung den IT-Grundschutz, wo Intrusion Detection/Intrusion Prevention Systeme (IDS/IPS) in den Bausteinen OPS.1.1.4 Schutz vor Schadprogrammen, OPS.1.1.5 Protokollierung beziehungsweise NET.3.2 Firewall sowie DER.1 Detektion von sicherheitsrelevanten Ereignissen thematisiert werden.
Das BSI hat zudem bereits als weiterführendes Dokument zum Themenfeld Intrusion Detection den BSI-Leitfaden zur Einführung von Intrusion-Detection-Systemen, Version 1.0 veröffentlicht. Gegebenenfalls können mit weiteren verfügbaren Umsetzungshinweisen, die sich durch die ersten konkreten Nachweise nach BSIG und weiteren, vom BSI als geeignet festgestellten branchenspezifischen IT-Sicherheitsstandards ableiten lassen, ab Mai 2023 weitere hilfreiche Konkretisierungen und Use Cases für Unternehmen erarbeitet werden. Bestenfalls erleichtern die Hinweise den Einsatz von SzA. Wesentliche Investitionen werden sich aber auch dadurch nur teilweise verringern lassen.
Autorin: Stefanie Sabet, Geschäftsführerin der Bundesvereinigung der Deutschen Ernährungsindustrie und Leiterin des Büro Brüssel